ข้อมูลคนไทยหลุดซ้ำๆ หน่วยงานไทยยังถูกโจมตีหนัก 1 ปี 3 เดือนไทยเจอภัยกว่า 2,700 ครั้ง

ทีมข่าวไอที

ก่อนที่ไทยจะเผชิญเหตุแผ่นดินไหวเพียงหนึ่งวัน (27 มี.ค.2568) มีข่าวว่าข้อมูลคนไทยหลุดออกมาขายซ้ำอีกครั้ง โดยสำนักงานหลักประกันสุขภาพแห่งชาติ(สปสช.) และสำนักงานพัฒนาวิทยาศาสตร์และเทคโนโลยีแห่งชาติ (สวทช.) ออกมาแถลงข่าวกรณีข้อมูลคนไข้ในระบบ A-Med Care Plus 1.3 แสนรายถูกโจรกรรมเอาไปขายบนเว็บบอร์ดซื้อขายข้อมูลแห่งหนึ่งว่า ไม่ได้หลุดจากระบบ แต่เกิดขึ้นระหว่างโอนถ่ายข้อมูล

ล่าสุดเมื่อวานนี้ไปรษณีย์ไทยก็ออกมาแถลงว่าข้อมูลผู้ใช้บริการของตัวเองทั้ง ชื่อ-นามสกุล ที่อยู่ เบอร์โทรศัทพ์ อีเมล ถูกเอาไปเผยแพร่บน Dark Web แต่ข้อมูลที่ถูกเอามาเผยแพร่นี้ไม่มีข้อมูลธุรกรรมทางการเงิน และทางหน่วยงานก็ได้ปิดช่องทางเข้าถึงข้อมูลทันทีพร้อมคุมเข้มยกระดับมาตรการเก็บรักษาข้อมูลส่วนตัวผู้ใช้บริการแล้ว

อย่างไรก็ตาม เมื่อผู้สื่อข่าวลองเข้าไปดูในเว็บบอร์ดที่มีการขายข้อมูลเหล่านี้ยังพบอีกว่ายังมีการขายข้อมูลอีกชุดจากระบบ Health Data Heart (HDC) ของกระทรวงสาธารณสุขอยู่ด้วยมีจำนวน 210 ไฟล์ ขนาดไฟล์รวมทั้งหมด 150 GB ในโพสต์ขายระบุด้วยว่าเป็นข้อมูลจำนวน 622 ล้านบรรทัด และปัจจุบันโพสต์ประกาศขายดังกล่าวยังคงปรากฏอยู่ในเว็บบอร์ดนั้น

ประกาศขายข้อมูล Health Data Heart ของไทยบนเว็บบอร์ด Breachforums

ผู้ประกาศขายข้อมูลดังกล่าวใช้ชื่อในเว็บบอร์ดว่า “Satisfie” เขาได้ระบุว่าข้อมูลที่นำมาขายนั้นมีข้อมูลส่วนตัวของบุคคล ได้แก่ บัตรประชาชน ชื่อ-นามสกุล วันเดือนปีเกิด เพศ ที่อยู่อาศัย เบอร์โทรศัพท์ และอื่นๆ อย่างไรก็ตามผู้ขายระบุด้วยว่าเมื่อตัดข้อมูลซ้ำออกตามข้อมูลบัตรประชาชนแล้วจะเหลือ 76,373,357 รายการ

นอกจากนั้นข้อมูลที่นำมาขายนี้ยังรวมไปถึงข้อมูลการวินิจฉัยโรค ข้อมูลการวิจัย ข้อมูลการตลาด ข้อมูลประกันและข้อมูลทางธุรกิจด้วย อย่างไรก็ตามผู้ขายไม่ได้ระบุว่าได้ข้อมูลเหล่านี้มาด้วยวิธีการใด แต่เขาได้โพสต์ตัวอย่างข้อมูลแนบไว้ด้วย โดยมีภาพที่ระบุว่าเป็น Health Data Heart ของสำนักงานสาธารณสุขจังหวัดสตูลอยู่ด้วย

Satisfie ระบุราคาข้อมูลที่นำมาขายเป็นจำนวน 60,000 ดอลลาร์สหรัฐ (2,035,800 บาท) โดยรับแลกเปลี่ยนเป็นเงินคริปโตในสกุล XMR หรือ BTC

ผู้สื่อข่าวได้นำประเภทไฟล์และลักษณะการบันทึกข้อมูลไปสอบถามผู้เกี่ยวข้อง ทราบว่าเป็นข้อมูล Clinic Info Provider ซึ่งเป็นข้อมูลจากโปรแกรมที่ทางโรงพยาบาลต่างๆ ส่งให้ “หมอพร้อม”

แต่นี่เป็นเพียงอีก 1 กรณีเท่านั้น เพราะเมื่อค้นหากระทู้ขายข้อมูลที่เกี่ยวกับประเทศไทยยังมีข้อมูลของหน่วยงานอื่นๆ อีก เช่น ข้อมูลของกระทรวงการคลังขนาด 5.9 เทระไบต์ กรมการขนส่งทางบก(ตัวย่อ DLT) มหาวิทยาลัยต่างๆ ไปจนถึงบริษัทประกัน รวมถึงไปรษณีย์ไทยรอบล่าสุดนี้ด้วย

กระทู้ขายข้อมูลเฉพาะที่เกี่ยวกับประเทศไทยบนเว็บบอร์ด Breachforums

ข้อมูลยังหลุดมาขายบนเว็บเดิมๆ

นอกจาก 3 กรณีล่าสุดนี้แล้ว ที่ผ่านมาข้อมูลส่วนตัวบุคคลด้านสาธารณสุขของไทยก็หลุดมาก่อนแล้วหลายครั้งและเป็นข่าวใหญ่ทุกครั้ง

ช่วงกันยายนปี 2564 มีกรณีข้อมูลคนไข้ของกระทรวงสาธารณสุขกว่า 16 ล้านรายการถูกประกาศขายมีทั้งข้อมูลเลขทะเบียนผู้ป่วย ชื่อ นามสกุล ที่อยู่ วันเดือนปีเกิด หมายเลขโทรศัพท์ ชื่อแพทย์เจ้าของไข้ โรงพยาบาล และรายละเอียดผู้ป่วยต่างๆ ถูกประกาศขายในราคา 500 ดอลลาร์สหรัฐ

กรณี 9Near เมื่อมีนาคม 2566 ที่ประกาศขายข้อมูลคนไทยจำนวน 55 ล้านคนแม้ว่าตอนแรกจะไม่ได้บอกว่าได้มาจากหน่วยงานใด แต่หลังจากเป็นข่าวและหน่วยงานรัฐออกมาปฏิเสธ เขาก็ได้ออกมายืนยันว่าได้มาจากหน่วยงานรัฐและภายหลังปรากฏว่ามาจากระบบ ‘หมอพร้อม’ สุดท้ายกรณีนี้ทางเจ้าหน้าที่ตำรวจและกระทรวงดิจิทัลฯ สามารถติดตามจับกุมมาได้พบว่าเป็นทหารยศสิบโทพร้อมภรรยาที่เป็นพยาบาล

หลังกรณี 9Near ยังมีกรณีตามมาอีกในเดือนมีนาคมปีที่แล้ว Flawed ประกาศขายข้อมูลคนไทยที่ได้มาจากหน่วยงานสาธารณสุขจำนวน 2.2 ล้านรายการในราคา 10,000 ดอลล่าร์สหรัฐ แม้ว่าหลังเกิดเหตุชลน่าน ศรีแก้ว ที่นั่งเป็นรัฐมนตรีว่าการกระทรวงสาธารณสุขอยู่จะบอกว่า ไม่ได้เป็นข้อมูลมาจากกระทรวงและไม่ทราบว่ามาจากหน่วยงานใด จนตอนหลังผู้ขายข้อมูลเปิดตัวอย่างข้อมูลออกมา ทำให้ทราบว่าเป็นชุดข้อมูลที่ใช้กันภายในโรงพยาบาล

อย่างไรก็ตาม เนื่องจากไม่สามารถเห็นชุดข้อมูลจริงๆ ของผู้ขายเหล่านี้ได้ ทำให้ไม่ทราบว่าข้อมูลที่นำมาขายเป็นชุดเดียวกันที่เอามาวนทยอยปล่อยขายหรือเป็นข้อมูลที่รั่วออกมาใหม่

เรื่องที่เกี่ยวข้อง

แม้ว่าจะไม่สามารถบอกได้ว่าข้อมูลเหล่านี้มีการประกาศขายที่ไหนบ้างหรือมีวิธีการได้ข้อมูลมาที่แน่ชัดนัก แต่พบว่าหลายครั้งที่ปรากฏข่าวข้อมูลของหน่วยงานรัฐไทยหรือเอกชนไทยหลุดขายบนเว็บไซต์ มักปรากฏอยู่ในเว็บบอร์ดที่ใช้ชื่อว่า Breachforums ที่มีการย้ายเว็บไซต์มาบ้างแล้วแต่ยังคงใช้ชื่อเหมือนเดิม หรือก่อนหน้านี้ก็เคยมีเว็บบอร์ดชื่อ Raidforums ซึ่งมีดีไซน์ใกล้เคียงกันแต่เจ้าของเว็บบอร์ดรายนี้ปรากฏข่าวว่าถูกจับกุมไปเมื่อปี 2565

ทั้งนี้เว็บบอร์ดทั้ง 2 แห่งนี้ ที่ผ่านมาสามารถค้นหาพบได้ผ่านเซิร์ชเอนจิ้นทั่วๆ ไปอย่างบริการของ Google และบุคคลทั่วไปสามารถกดเข้าไปดูได้โดยไม่ต้องมีล็อกอินเพื่อเข้าไปดูข้อมูลการขาย แต่หลังจากกรณี Flawed เป็นต้นมาพบว่า Breachforums ได้ย้ายที่อยู่ของเว็บและการจะเข้าไปดูข้อมูลการขายจำเป็นต้องผ่านขั้นตอนล็อกอินเข้าสู่ระบบของเว็บบอร์ด และคาดหมายได้ว่าในอนาคตผู้ให้บริการก็อาจจะย้ายที่อยู่ของเว็บบอร์ดได้อีก

แม้ว่ากระทรวงสาธารณสุขจะตกเป็นข่าวบ่อย แต่ข้อมูลจากสำนักงานคณะกรรมการการรักษาความมั่นคงปลอดภัยไซเบอร์แห่งชาติ (สกมช.) เปิดเผยสถิติปี 2567 และ 3 เดือนแรกของปี 2568 ถึงจำนวนครั้งที่หน่วยงานรัฐและเอกชนเผชิญปัญหาการโจมตีระบบออนไลน์ไว้

หากเข้าไปดูในเว็บบอร์ดดังกล่าว นอกจากข้อมูลที่ตกเป็นข่าวบ่อยๆ แล้วก็ยังจะพบอีกว่ายังมีข้อมูลของหน่วยงานรัฐอื่นๆ เช่นกระทรวงการคลังที่มีคนเอามาประกาศขายว่ามีขนาดไฟล์รวมถึง 5.9 เทอร์ราไบต์ ข้อมูลผู้ที่ศึกษาอยู่ในมหาวิทยาลัยมหาจุฬาลงกรณ์ หรือข้อมูลของบริษัทเอกชนอย่างบริษัทประกันอลิอันซ์ กรมขนส่งทางบก เป็นต้น

ข้อมูลของกระทรวงการคลังที่ถูกเอามาขาย

ในสถิติของ สกมช.พบว่า 3 อันดับแรก คือ หน่วยงานด้านการศึกษามีสถิติสูงที่สุด ส่วนรองลงมาคือการเงินการธนาคาร (ถ้าตัดส่วนที่เป็นหน่วยงานรัฐอื่นๆ ที่รวมกันแล้วเป็นรองลงมา) และผู้ประกอบการเอกชนสัญชาติไทย ส่วนหน่วยงานด้านสาธารณสุขมาเป็นอันดับ 7

หน่วยงานที่ถูกโจมตี	ปี 2567	ปี 2568(ม.ค.-มี.ค.)	รวม 67-68
การศึกษา	555	149	704
หน่วยงานของรัฐ ด้านอื่นๆ	475	106	581
การเงินการธนาคาร	231	105	336
ผู้ประกอบการพาณิชย์ที่เป็นบริษัทเอกชน สัญชาติไทย	183	56	239
พลังงานและสาธารณูปโภค	118	8	126
แจ้งเตือนทุกหน่วยงานภายใต้ พ.ร.บ.ไซเบอร์ฯ	87	20	107
สาธารณสุข	75	32	107
ความมั่นคง	75	23	98
ขนส่งและโลจิสติกส์	seventy nine	13	92
เทคโนโลยีสารสนเทศและโทรคมนาคม	67	14	81
อื่นๆ	40	16	56
ผู้ประกอบการพาณิชต่างประเทศที่มีที่ตั้งในประเทศไทย	30	21	51
บริการภาครัฐ	34	2	36
ผู้ผลิตซอฟต์แวร์ ระบบ หรืออุปกรณ์ทางเทคโนโลยี	30	6	36
ผู้ประกอบกิจการให้เช่าพื้นที่เว็บไซต์หรือที่เป็นดาต้าเซ็นเตอร์	13	13	26
ผู้ประกอบการธุรกิจอีคอมเมิร์ซ	20	1	21
กลุ่มจัดตั้ง ชมรม สมาคม	9	4	13
ผู้ให้บริการโซเชียลมีเดีย	9	0	9
เว็บไซต์ที่มีการสมาชิกหรือใช้เป็นเว็บบอร์ด	5	0	5
รวม	2,135	589	2,724

หมายเหตุ – ข้อมูลจาก สำนักงานคณะกรรมการการรักษาความมั่นคงปลอดภัยไซเบอร์แห่งชาติ (สกมช.) ปี 2567 และ 2568 เรียงตามลำดับของหน่วยงานที่ถูกโจมตีมากไปน้อย

นอกจากนั้นยังให้สถิติประเภทของภัยที่เกิดต่อระบบไว้ด้วย โดยจำนวนที่มีมากที่สุดคือ “ความพยายามเจาะระบบ” มีจำนวนมากที่สุดคือ 1,161 ครั้ง แต่เป็นกรณีที่ถูกบุกเจาะได้ 205 ครั้ง (ปีนี้ยังไม่มีครั้งที่สำเร็จ) และถ้าหากดูประเภทการโจมตีต่างๆ จะพบว่า นอกจาการเจาะระบบแล้วการโจมตีบางประเภทก็สามารถทำให้เกิดการรั่วไหลของข้อมูลได้ด้วย เช่นการลวงลวงให้กดลิงก์เพื่อขโมยบัญชี (Fraud) หรือการถูกโจมตีด้วยโทรจันที่ทำให้อุปกรณ์ถูกผู้ที่พยายามเจาะระบบสามารถยึดเครื่องได้ตามมา

รูปแบบภัยคุกคาม	2567	2568(ม.ค.-มี.ค.)	รวม 67-68
ความพยายามในการบุกรุก (Intrusion Makes an attempt)	913	248	1,161
การฉ้อโกง (Fraud)	525	191	716
ความปลอดภัยของเนื้อหาข้อมูล (Info Assert material Security)	309	87	396
การบุกรุกระบบ (Intrusions)	205	0	205
ความพร้อมใช้งานของระบบ (Availability)	109	23	132
ไวรัส โทรจัน หรือ แรนซัมแวร์ ฯลฯ (Malicious Code)	73	40	113
เนื้อหาที่ไม่เหมาะสมหรือเป็นภัย (Abusive Assert material)	1	0	1
รวม	2,135	589	2,724

หมายเหตุ – ข้อมูลจาก สำนักงานคณะกรรมการการรักษาความมั่นคงปลอดภัยไซเบอร์แห่งชาติ (สกมช.) ปี 2567 และ 2568

อย่างไรก็ตาม ในการเผยแพร่สถิติของ สกมช. ไม่ได้แยกข้อมูลว่าแต่ละหน่วยงานเผชิญปัญหาความปลอดภัยรูปแบบใดบ้างเอาไว้ ทำให้บอกไม่ได้ว่าหน่วยงานที่เกิดปัญหาความปลอดภัยของข้อมูลมากที่สุดถูกโจมตีระบบกี่ครั้ง

เราจะเห็นว่าการไล่ปิดเว็บขายไล่จับคนขโมยคงไม่เพียงพอในเกมแมวไล่จับหนูนี้ และแม้จะมีการวางระบบป้องกันอาจจะไม่ได้ทำให้ปัญหาข้อมูลหลุดหมดสิ้นไป แต่อย่างน้อยก็อาจพอจะลดความเสียหายลงได้บ้าง

ที่มา ประชาไท ( prachatai.com )